さくらのレンタルサーバーでMovable Type 7（MT7）を使い、管理画面でデザインテンプレートを更新しようとしたところ、画面が白くなりForbiddenというエラーに…。ブラウザのキャッシュやCookieを削除して再度実行しても改善せず。そういえばロリポップでも同様なことがあったな…？と、ある改善を試したら直りました。

その犯人とは…WAF（Web Application Firewall）です。

WAFとはWebアプリケーションを不正な攻撃から守る機能の1つで、さくらのレンタルサーバーでも標準で搭載されています。SQLインジェクションやXSSなど、Webアプリケーションの脆弱性から守ってくれます。今回、MT管理画面の入力フォームに記述したMTタグやHTMLタグの記述がXSSと誤認識されアクセスを遮断したものと考えられます。

一時的にWAFを無効にする

さくらのレンタルサーバーのコントロールパネルにログイン後、[セキュリティ]→[WAF設定ドメイン]と選択します。対象のドメインの欄の[設定]を選択し[WAF設定変更]から[利用しない]にチェックを入れ[保存する]を押下します。

しばらくしたら、MTの管理画面から正常にデザインテンプレートが更新でき再構築できるか試したら正常に動きました。

再びにWAFを有効にする

安全のためWAF設定をもとに戻しておきます。先程の設定で今度は逆に[利用する]を選択し保存します。

さくらのレンタルサーバーのWAFの有無をディレクトリやファイルごとで設定できないようなので、面倒ではありますが随時切り替えて運用することにします。

おしまい♥

タグ：Movable Typeさくらインターネット